Clever Geek Handbook

GOSTL2VPN管理用の802.1Qまたはソフトウェアアップデートの費用を節約する方法





状況



ネットワーク上の2つのサイト間でVPN接続を確立する必要があります。サーバールームには、セキュリティゲートウェイC-TerraGatewayバージョン4.2があったようです。スキームは単純です。ベンダーは、推奨される構成スクリプトも投稿しました。しかし...ベンダースクリプトは3つのネットワークインターフェイスを使用し、私のゲートウェイには2つしかありません。



私はコーヒーを淹れ、CCNAを覚えて、自分が持っているもの、つまりマネージドスイッチの空きポートを使おうとしています。



私のネットワーク



私のネットワークは、1つのブロードキャストドメイン内の地理的に離れた2つのサイトです。アドレススペース:10.10.205.0/24:







2つのセキュリティゲートウェイC-TerraGatewayバージョン4.2とC-TerraL2パッケージを使用します。

C-Terra L2



パッケージについてこのパッケージを使用すると、1つ以上のゲートウェイインターフェイスをPROMISCモードに切り替えることができます。PROMISCインターフェイスはデータリンクフレームをインターセプトし、C-TerraL2はそれらをUDPにカプセル化します。

次に、UDPパケットが暗号化されます(ESPにカプセル化されます)。これにより、L2-over-L3VPN接続が作成されます。C-Terra L2は、すべてのセキュリティゲートウェイにプリインストールされており、個別のライセンスでアクティブ化されます。


推奨されるシナリオでは、セキュリティゲートウェイはネットワークのエッジに配置され、管理用に個別のインターフェイスが割り当てられ







ます。インターフェイスの説明を簡単にするために、次のようにします。



  • Gi0 / 0-PROMISCインターフェース;
  • Gi0 / 1-L3WANインターフェース;
  • Gi0 / 2-専用の管理インターフェイス。VPNトンネルを介して2番目のセキュリティゲートウェイを管理する必要があることを理解しています。


決定



ハブレで802.1Qについて読んでいたときに、最初のコーヒーのマグカップが終わりました。CCNAを思い出しました。図に示すように、機器の切り替え中に2番目のマグカップが冷却されました(マイクロ波で加熱します)







。3つのタイプのトラフィックを区別します。



  • R1デバイスとR2デバイス間の主なトラフィック。これをBULKDATAとして指定し、VLAN205に配置します。BULKDATAは、サイト間で送信する前に暗号化する必要があります。
  • ゲートウェイ管理トラフィック-MGMT。VLAN10に移動します。リモートサイトのゲートウェイへのMGMTトラフィックは暗号化する必要があります。
  • 暗号化後のバルクデータとMGMTをESPDATAとして指定し、VLAN100に配置します。


私の見積もりによると、ネットワーク上のBULK DATA / ESP DATA送信は次のようになります(緑の線は暗号化されていないトラフィック、赤は暗号化されたトラフィックを表します):







ローカルサイトでのゲートウェイ制御用のMGMT送信







:リモートサイトでのゲートウェイ制御用のMGMT / ESP DATA送信:







セットアップの5つのステップ



手順1.バルクデータの処理バルクデータ用



に別のVLAN205を選択します。このために、SW1およびSW2デバイスのGi0 / 2インターフェイスをVLAN205のアクセスモードに設定します。 



sw1(config)#
interface gi0/2
    description BULK_TO_R1
    switchport access vlan 205
    no shutdown

sw2(config)#
interface gi0/2
  description BULK_TO_R2
  switchport access vlan 205
  no shutdown


ゲートウェイGW1およびGW2PROMISCインターフェースのインターフェースGi0 / 0を作成します。BULK DATAをPROMISCインターフェイスに渡すために、トランクをPROMISCインターフェイスに設定します。 



sw1(config)#
interface gi0/0
  description LINK_TO_PROMISC_GW1
  switchport mode trunk
  switchport trunk allowed vlan 205
  switchport trunk encapsulation dot1q
  no shutdown

sw2(config)#
interface gi0/0
  description LINK_TO_PROMISC_GW2
  switchport mode trunk
  switchport trunk allowed vlan 205
  switchport trunk encapsulation dot1q
  no shutdown






ステップ2.ローカルMGMT



の処理計画によると、VLAN 10を伝送するMGMTトラフィック。VLAN10のアドレススペース:10.76.76.128/28。



SW1およびSW2デバイスで、vlan10仮想インターフェイスを作成します。 



sw1(config)#
interface vlan10
  ip address 10.76.76.129 255.255.255.240
  no shutdown 

sw2(config)#
interface vlan10
  ip address 10.76.76.142 255.255.255.240
  no shutdown


ゲートウェイで802.1Qインターフェイスを構成しないように、VLAN10をネイティブVLANにします。 



sw1(config)#
interface gi0/1
  description LINK_TO_WAN_GW1
  switchport mode trunk
  switchport trunk allowed vlan 10
  switchport trunk native vlan 10
  switchport trunk encapsulation dot1q
  no shutdown

sw2(config)#
interface gi0/1
  description LINK_TO_WAN_GW2
  switchport mode trunk
  switchport trunk allowed vlan 10
  switchport trunk native vlan 10
  switchport trunk encapsulation dot1q
  no shutdown






セキュリティゲートウェイのGi0 / 1インターフェイスを構成します。 



GW1(config)#
interface gi0/1
   ip address 10.76.76.137 255.255.255.240
   no shutdown

GW2(config)#
interface gi0/1
  ip address 10.76.76.138 255.255.255.240
  no shutdown


これで、GW1はSW1デバイスからSSH経由でアクセスできます。 



sw1#ssh –l root 10.76.76.137
Password:
S-Terra Gate 4.2.18201 (amd64)
root@GW1~#


同様に、GW2にはSW2デバイスからSSH経由でアクセスできます。 



sw2#ssh –l root 10.76.76.138
Password:
S-Terra Gate 4.2.18201 (amd64)
root@GW2~#


ニース、もう一杯のコーヒーを注いだ。



ステップ3.リモートサイト



のゲートウェイへのMGMTの処理リモートサイトのゲートウェイへのMGMTトラフィックは暗号化する必要があります。これを行うには、VPNを介してVLAN10をスローします。PROMISCインターフェースから傍受されたすべてのトラフィックは、VPNトンネルに入ります。トランクにPROMISCインターフェイスVLAN10を追加します。 



sw1(config)#
interface gi0/0
  description LINK_TO_PROMISC_GW1  
  switchport trunk allowed vlan 10, 205

sw2(config)#
interface gi0/0
  description LINK_TO_PROMISC_GW1  
  switchport trunk allowed vlan 10, 205


30分のトラブルシューティングを無駄にしないでください!



PROMISCインターフェイスはESPDATAを取得しないため、次のオプションでLINK_TO_PROMISC_GW1およびLINK_TO_PROMISC_GW2トランクからVLAN100を除外することが重要です。



switchport trunk allowed vlan 1-99,101-4096


ステップ



4.ESPDATAに到達しましたGW1およびGW2ゲートウェイのVLAN100でESPDATAを選択します。VLAN 100のアドレススペース:192.168.10.0 / 30



これを行うには、ゲートウェイGW1およびGW2のWANインターフェイスGi0 / 1で、802.1QインターフェイスGi0 /1.100を作成します。

このようなインターフェイスからの発信トラフィックは、VLAN100に属します。 



GW1(config)#
interface gi0/1.100
   ip address 192.168.10.1 255.255.255.252
   no shutdown

GW2(config)#
interface gi0/1.100
  ip address 192.168.10.2 255.255.255.252
  no shutdown






トランクLINK_TO_WAN_GW1およびLINK_TO_WAN_GW2へのVLAN100の通過を許可します。 



sw1(config)#
interface gi0/1
  description LINK_TO_WAN_GW1
  switchport trunk allowed vlan 10,100

sw2(config)#
interface gi0/1
  description LINK_TO_WAN_GW2
  switchport trunk allowed vlan 10,100


デバイスSW1とSW2の間のリンクも、タグ付きVLAN100トラフィックを送信する必要があります。 



sw1(config)#
interface gi0/3
  description LINK_TO_SW2
  switchport mode trunk
  switchport trunk allowed vlan 100
  switchport trunk encapsulation dot1q
  no shutdown

sw2(config)#
interface gi0/3
  description LINK_TO_SW1
  switchport mode trunk
  switchport trunk allowed vlan 100
  switchport trunk encapsulation dot1q
  no shutdown


手順



5.GOSTを使用したC-TerraL2およびIPsecVPNの構成C- TerraL2は、構成ファイル/opt/VPNagent/etc/l2.confを使用してオペレーティングシステムで構成されます。GW1の場合: 



vif tap0
bridge br0
capture eth0
remote 192.168.10.2
mssfix 1400
passtos


ここで、



capture eth0-PROMISCインターフェイスを選択します。リモート192.168.10.2-IPsecピアのIPアドレス(GW2ゲートウェイのGi0 / 1.100インターフェイス)。



GW2の場合: 



vif tap0
bridge br0
capture eth0
remote 192.168.10.1
mssfix 1400
passtos


IKE / IPPEパラメータの設定。GW1の場合:

ゲートウェイはホスト名を識別子として使用し、認証用に事前定義されたキーを設定します(認証の使用規則ではデジタル証明書を使用する必要があります。後で変更します): 



GW1(config)#
crypto isakmp identity hostname
ip host GW2 192.168.10.2
crypto isakmp key KEY hostname GW2


デッドピア検出(DPD)パラメーターの構成: 



GW1(config)#
crypto isakmp keepalive 10 2
crypto isakmp keepalive retry-count 5


IPsecフェーズIパラメーターを設定します。 



GW1(config)#
crypto isakmp policy 1
  encr gost
  hash gost3411-256-tc26
  auth pre-share
  group vko2


IPsecフェーズIIのパラメーターを設定します。 



GW1(config)#
crypto ipsec transform-set TSET esp-gost28147-4m-imit
   mode tunnel


PROMISC L2インターフェイスによってインターセプトされたフレームはUDPにカプセル化されているため、暗号化のトラフィックを定義するアクセスリストは次のとおりです。 



GW1(config)#
ip access-list extended LIST
   permit udp host 192.168.10.1 host 192.168.10.2


暗号マップを作成し、それをGi0 /1.100にバインドします。 



GW1(config)#
crypto map CMAP 1 ipsec-isakmp
  match address LIST
  set transform-set TSET
  set peer 192.168.10.2
interface gi0/1.100
  crypto map CMAP


IPsecピアのIPアドレスを介したデフォルトルートを指定します。 



GW1(config)#
ip route 0.0.0.0 0.0.0.0 192.168.10.2


GW2ゲートウェイ構成: 



GW2(config)#
crypto isakmp identity hostname
ip host GW1 192.168.10.1
crypto isakmp key KEY hostname GW1
crypto isakmp keepalive 10 2
crypto isakmp keepalive retry-count 5
crypto isakmp policy 1
  encr gost
  hash gost3411-256-tc26
  auth pre-share
  group vko2
crypto ipsec transform-set TSET esp-gost28147-4m-imit
  mode tunnel
ip access-list extended LIST
  permit udp host 192.168.10.2 host 192.168.10.1
crypto map CMAP 1 ipsec-isakmp
  match address LIST
  set transform-set TSET
  set peer 192.168.10.1
interface gi0/1.100
  crypto map CMAP
ip route 0.0.0.0 0.0.0.0 192.168.10.1


起こりました?



デバイスR1から、R2にpingを実行します。 



R1#ping 10.10.205.2 
Type escape sequence to abort. 

Sending 5, 100-byte ICMP Echos to 10.10.205.2, timeout is 2 seconds: 
!!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/2/3 ms</code>

R2   ICMP.  ?  ARP   R1  R2:

<source>R1#show arp 
Protocol  Address          Age (min)  Hardware Addr   Type   Interface 
Internet  10.10.205.1             -   aabb.cc00.5020  ARPA   GigabitEthernet0/2 
Internet  10.10.205.2            54   aabb.cc00.6020  ARPA   GigabitEthernet0/2

R2#show arp 
Protocol  Address          Age (min)  Hardware Addr   Type   Interface 
Internet  10.10.205.1            52   aabb.cc00.5020  ARPA   GigabitEthernet0/2 
Internet  10.10.205.2             -   aabb.cc00.6020  ARPA   GigabitEthernet0/2


R1デバイスとR2デバイスは、同じブロードキャストサブネット上にあると想定しています。



SW1デバイスとSW2デバイスは、次の2つのリンクで相互に接続されていると見なします。 



sw1#show cdp neighbors
Device ID    Local Intrfce   Holdtme     Capability  Platform  Port ID 
sw2          Gi0/0           146             R S I  Linux Uni Gi0/0 
sw2          Gi0/3           146             R S I  Linux Uni Gi0/3 
R1           Gi0/2           156              R B   Linux Uni Gi0/2

sw2#show cdp neighbors
Device ID    Local Intrfce   Holdtme     Capability  Platform  Port ID 
sw1          Gi0/0           140             R S I  Linux Uni Gi0/0 
sw1          Gi0/3           140             R S I  Linux Uni Gi0/3 
R2           Gi0/2           156              R B   Linux Uni Gi0/2


SW1デバイスからSSH経由でGW2に接続しようとしています。 



sw1#ssh –l root 10.76.76.138
Password:
S-Terra Gate 4.2.18201 (amd64)
root@GW2~#


結論:サイト1と2は、単一のブロードキャストドメインに透過的にリンクされています。チャネルに暗号化があるかどうかを確認



します。GW1デバイスのIPsecトンネル統計: 



root@GW1:~# sa_mgr show 
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections: 
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd 
1 2 (192.168.10.1,500)-(192.168.10.2,500) active 31378 31502

IPsec connections: 
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd 
1 2 (192.168.10.1,*)-(192.168.10.2,*) 17 ESP tunn 508224 27672


192.168.10.1と192.168.10.2の間にIPsecトンネルが確立されました。



SW1デバイスとSW2デバイス間でESPトラフィックのみが送信され、STPはカウントされないことを確認しました。SW1のgi0 / 3インターフェイスからのトラフィックダンプは次のとおりです。







最終的には



私は3杯のコーヒーを飲みました-それから私は一晩中眠りませんでした、しかし私は新しいハードウェアを購入して更新する必要はありませんでした。たぶんそれは価値がありました、バージョン4.3でベンダーはL2を思い起こさせました。テスト用にバージョン4.3を使用することを考えています。



匿名エンジニア

t.me/anonimous_engineer


More articles:


All Articles